Mac App Store 审核漏洞大，安全应用居然偷起了用户浏览器历史

2018 年 9 月 10 日 雷锋网

▲点击上方雷锋网关注

文 | 大壮旅

来自雷锋网（leiphone-sz）的报道

雷锋网按，一直以来“安全无毒”都是 Mac 生态的一大卖点，但现在这里可是越来越不安全了。最近，Mac App Store 上排名第一的付费工具应用 Adware Doctor 就被抓包了，它居然偷偷记录起了用户的浏览器历史，而且还将这些私密数据发到了一台位于中国的服务器上。

安全研究专家 Patrick Wardle 表示，自己在一个月前向苹果通报了这一问题，但这件事在苹果那里却没了下文。

Threatpost 指出，这款应用看起来可是相当清白，而且它还是 Mac App Store 上的明星付费应用，位列 Final Cut Pro、Magnet 和 Logic Pro X 之后。

在应用商店中，Adware Doctor 卖4.99 美元，它不但经过了苹果的审核，评分还高达 4.8 分。在应用描述中，开发商表示 Adware Doctor 能“防御恶意软件和文件感染你的 Mac。”

Wardle 专门对这款应用做了深入挖掘，他发现这款应用会新建一个名为 history.zip 的密码保护存档，随后应用会将该文档上传到一台位于中国的服务器。对一些文档进行查阅后他发现这里面居然有 Chrome、火狐等浏览器的历史记录。当然，苹果自家的 Safari 也跑不了。

Wardle 强调，虽然 macOS 中的沙盒能防止应用接入属于其他应用的数据，但 Adware Doctor 首次运行时会要求通用存取权限，这样即使它在后台搞恶意扫描，也不会显出可疑迹象。同时 Wardle 还发现，该应用能接入正在运行的进程，而沙盒在这时也应该起作用。

但讽刺的是，这块应用居然用苹果的代码绕过了苹果的保护机制。他表示：“说实话，这段代码完全是从苹果的 GetBSDProcessList 代码中复制粘贴的，显然它们很清楚这是苹果沙盒的弱点，而这样的操作方法肯定是未经批准的（因为它会与苹果沙盒隔离机制相抵触）。”

除此之外，这款应用还会记录你下载的应用及其来源。

截至发稿前，这台位于中国的神秘服务器已经下线，苹果也将 Adware Doctor 踢出了 Mac App Store。

在 Wardle 看来，有恶意应用不可怕，可怕的是苹果在收到提醒后一个月居然都无动于衷，Mac App Store 也不是百分之百安全了。

不过，苹果 Mac App Store 的麻烦还没完，一些“行为不端”的应用又陆续被挖了出来。这些应用会用花言巧语（病毒扫描或是清理缓存）劝说用户交出根目录的访问权，但事实上它们的根本目的还是采集用户数据，浏览器历史更是这些坏应用的最爱。采集完数据后，它们还会将其上传到自己的分析服务器。

第二波下架应用中，最引人注目的是一家名为“趋势科技有限公司”的开发商（可能是家李鬼公司），它们出品的多款应用都存在类似问题。其实此前就有用户在 Malwarebytes 论坛反映了这一问题，研究人员进行调查后发现，这些应用与 Adware Doctor 手法类似，它们会搜集并将用户浏览器历史上传到自家服务器。至于建文档和采集其他应用的数据，它们也没落下，就连欺骗用户获取相关权限时用的说辞都差不多。

虽然不收费，但这些应用也是 Mac App Store 最受欢迎的应用，可见苹果商店的隐私安全问题已经相当严重。

下一步，苹果可得收紧 Mac App Store 的审核了，否则再强大的沙盒恐怕也挡不住坏心眼，现在是浏览器历史被偷，未来恐怕用户的 iMessage 聊天记录、email 也会被染指。

Mac 用户下次下载应用时也得长个心眼了，苹果并不等同于绝对安全。如果有应用要你的根目录访问权，赶紧拒绝。

- END -

◆ ◆ ◆